Omada-Netzwerk – statisches Routing zwischen AVM und TP-Link-Router

[luke911]

Hallo Forumsteilnehmer,

ich hätte gerne mal ein Problem:

Habe mir Omada-Equipment zugelegt, das für meine Zwecke eigentlich gut funktioniert.

Allerdings hätte ich gerne ein statisches Routing zwischen dem AVM-Router und dem TP-Link Router angelegt, um ein Doppel-NAT zu vermeiden.

Die Konfiguration ist wie in den Schaubildern dargestellt, das Ergebnis ist, dass alle Endgeräte soweit ins Internet können, auch PI-Hole funktioniert (meiner Meinung nach).

Nun habe ich allerdings festgestellt, dass alle Endgeräte im selben Netzwerk sind, nicht wie gewollt in unterschiedlichen VLANs.

Was mache ich falsch?

Vielen Dank für Eure Hilfe, weitere Infos folgen gerne!

 

[KillerCow]

Nun habe ich allerdings festgestellt, dass alle Endgeräte im selben Netzwerk sind, nicht wie gewollt in unterschiedlichen VLANs.

Hast du denn irgendwo VLANs konfiguriert? Unterstützt deine Hardware VLANs überhaupt (die Fritzbox schonmal nicht)? Was genau willst du erreichen bzw. welche Geräte sollen in eigene VLANs?

PS: Nen kleiner Tipp: Im Titel steht was von statischem Routing, was offenbar bestens funktioniert, deine Frage bezieht sich dann allerdings auf VLANs. Auf diesem Weg finden eventuell nicht die richtigen Leute deine Frage.

 

[Zero_Official]

Alle deine Tplink komponenten können Vlan und routing zwischen kann der switch erledigen.
deine Fritze kannst du als Modem benutzen und den ER605 sein job tun lassen.
z. Zeit ist es ja nur zusammen geschaltet mehr nicht, das reizt die zusammenstellung des netzwerks nicht annähernd aus.

 

[0x8100]

warum hat die fritzbox eine route zu 192.168.2.1/24 über 192.168.1.2 wenn alle endgeräte in 192.168.10.0/24 sind? wenn deine endgeräte ins internet kommen, kann das eigentlich nur bedeuten, dass der er605 immer noch nat macht.

 

[chrigu]

ich hätte gerne mal ein Problem:

ich nicht. danke. gebe dir aber auch gerne eines meiner ab.

wenn vlan nicht klappt, hast du wahrscheinlich auch kein vlan aktiviert. weil fritzbox kein vlan kann!
doppelnat kannst du nicht einfach umgehen per knopfdruck. entweder du konfigurierst das omada als AP oder kaufst dir ein blosses modem, weil fritzboxen können seit ein paar jahren nicht mehr in den brigde mode umgeschaltet werden.

 

[luke911]

Hast du denn irgendwo VLANs konfiguriert? Unterstützt deine Hardware VLANs überhaupt (die Fritzbox schonmal nicht)? Was genau willst du erreichen bzw. welche Geräte sollen in eigene VLANs?

PS: Nen kleiner Tipp: Im Titel steht was von statischem Routing, was offenbar bestens funktioniert, deine Frage bezieht sich dann allerdings auf VLANs. Auf diesem Weg finden eventuell nicht die richtigen Leute deine Frage.

Der Titel ist deshalb so gewählt, weil ich glaub(t)e, dass die Einstellungen für das statische Routing dafür verantwortlich sind.

warum hat die fritzbox eine route zu 192.168.2.1/24 über 192.168.1.2 wenn alle endgeräte in 192.168.10.0/24 sind? wenn deine endgeräte ins internet kommen, kann das eigentlich nur bedeuten, dass der er605 immer noch nat macht.

Deshalb auch das statische Routing, damit soll man das NAT vom AVM-Router "übergehen" können; nur noch der TP-Link-Router soll dafür zuständig sein.

Alle deine Tplink komponenten können Vlan und routing zwischen kann der switch erledigen.
deine Fritze kannst du als Modem benutzen und den ER605 sein job tun lassen.
z. Zeit ist es ja nur zusammen geschaltet mehr nicht, das reizt die zusammenstellung des netzwerks nicht annähernd aus.

Genau so soll es eigentlich auch sein, ich habe auch statische IPs bei den Endgeräten (und APs) vergeben, nur werden immer IPs im 10er Netu angezeigt... (anbei ein paar Fotos d. VLANs und IP-Konfig, exemplarisch)

Danke @lle

 

[0x8100]

Deshalb auch das statische Routing, damit soll man das NAT vom AVM-Router "übergehen" können; nur noch der TP-Link-Router soll dafür zuständig sein.

aber dann musst du doch der fritzbox klarmachen, dass dein 192.168.10.0/24 hinter der 192.168.1.2 zu finden ist. wozu eine route nach 192.168.2.0/24 wenn du dieses netz überhaupt nicht verwendest?

 

[luke911]

ich nicht. danke. kannst du gerne behalten.

wenn vlan nicht klappt, hast du wahrscheinlich auch kein vlan aktiviert. weil fritzbox kein vlan kann!

Hehe, schade,
eben deshalb auch gleich in die Vollen auf Omada gegangen und den Router dazugekauft.

Ergänzung (25. Januar 2023)

Was mir seit kurzem auffällt, dass der nahtlose Wechsel zwischen den APs im WLAN nichtmehr funktioniert...
(AP ist gem. Foto konfiguriert)

 

[Zero_Official]

@luke911
zeig mal die interfaces zu den vlans auf dem switch und default Gateway darauf.
auch die vlan port zuordnung.

 

[luke911]

zeig mal die interfaces zu den vlans auf dem switch und default Gateway darauf.
auch die vlan port zuordnung.

So sah es bis jetzt aus. Habe die VLANs im Switch aktiviert. Denke das ist hilfreich facepalm
(Nachtrag: Schon jetzt sind einige Geräte im richtigen VLAN - werde weiter testen)

Reichen die screenshots des switches und gateways aus?

mille grazie an alle!

MfG
dau

PS: Ist Eurer Meinung nach das Statische Routing richtig konfiguriert? Bzw. wie kann ich das am Besten testen?

 

[chrigu]

Also… momentan läuft vom omada zum Switch alles mit vlan und vom Switch zum internetrouter ist kein vlan. Also ist theoretisch alles was vom Switch zur fritzbox geht in einem subnetz und Switch/omada in einem anderen subnetz mit vlan?

 

[luke911]

An der Fritzbox hängt nur der Omada-Router, der soll die VLANs händeln - macht er mittlerweile auch (aber noch nicht ausgiebig getestet.)
Das knifflige am Setup ist aber die Fritbox, da diese keinen "bridge-mode" kann und das NAT dort nicht deaktivierbar ist.
Ein workaround soll eben das statische routing sein. Meine Frage dazu ist, habe ich dies richtig konfiguriert?
(Internet funktioniert an den ports, die ich getestet habe ja, auch im WLAN. Andernfalls hängt es von den VLAN-Konfigurierungen ab.
Anbei nochmal das Schaubild. Die Endgeräte IPs sind mittlerweile erwartungsgemäß entsprechend dem jeweiligen VLAN
Vielen Dank im Voraus!

 

[Raijin]

Meine Frage dazu ist, habe ich dies richtig konfiguriert?

Das hat @0x8100 in #7 bereits erklärt: Nein.

Du hast deiner Fritzbox nun gesagt, dass sie das Subnetz 192.168.2.0/24 hinter dem ER605 findet, aber dieses Subnetz gibt es dort nicht. Stattdessen hängen am ER605 augenscheinlich die Subnetze 192.168.10.0/24. 192.168.11.0/24, 192.168.12.0/24 und 192.168.13.0/24. Dann müssen natürlich auch die Routen in der Fritzbox auf eben diese Subnetze zeigen.

Eine Route setzt sich immer aus dem Ziel - "Küche" - und dem Gateway - "3. Tür links" - zusammen. Wenn du in die "Küche" willst, bringt dir eine Route zum "Wohnzimmer" herzlich wenig und eine Route zur "Lagerhalle", die es noch nicht mal gibt, erst recht nicht.

 

[Zero_Official]

So sieht ordentliche Vlan/Interface zuordnung aus:

 

[luke911]

Das hat @0x8100 in #7 bereits erklärt: Nein.

Du hast deiner Fritzbox nun gesagt, dass sie das Subnetz 192.168.2.0/24 hinter dem ER605 findet, aber dieses Subnetz gibt es dort nicht. Stattdessen hängen am ER605 augenscheinlich die Subnetze 192.168.10.0/24. 192.168.11.0/24, 192.168.12.0/24 und 192.168.13.0/24. Dann müssen natürlich auch die Routen in der Fritzbox auf eben diese Subnetze zeigen.

Eine Route setzt sich immer aus dem Ziel - "Küche" - und dem Gateway - "3. Tür links" - zusammen. Wenn du in die "Küche" willst, bringt dir eine Route zum "Wohnzimmer" herzlich wenig und eine Route zur "Lagerhalle", die es noch nicht mal gibt, erst recht nicht.

Hallo, danke für dein input!
Ich fände es eigentlich unpraktisch, jedes subnet in der fritzbox konfigurieren zu müssen. Gibt es keine Möglichkeit, dass die fritze (kann man die dann als gateway bezeichnen?) nur mit dem Omada-Router kommuniziert und einzig der Omada-Router dann die subnetze aufspannt?
Derzeit sind vlans wie im Anhang konfiguriert.

Oder eine generelle Frage: Wie würdet Ihr/wie wird denn konfigurieren, um idealer Weise Doppel-NAT zu vermeiden, wenn die Fritzbox 6490 gegeben ist?

 

[TomH22]

Gibt es keine Möglichkeit, dass die fritze (kann man die dann als gateway bezeichnen?) nur mit dem Omada-Router kommuniziert und einzig der Omada-Router dann die subnetze aufspannt?

Nein, die Fritzbox muss alle Subnetze, die hinter einem anderen Router liegen, als statische Routen kennen. Du kannst alternativ natürlich einfach mit einem größeren Subnetz arbeiten und es in dem Omada Router unterteilen. Also z.B. in der Fritzbox 172.16.0.0 mit Netmask 255.255.0.0, und dann im Omada 172.16.1.0, 172.16.2.0 usw, mit Netmask 255.255.255.0

 

[luke911]

Bingo, Danke!
Ich glaube, nun ist der Groschn gefallen. Für die Fritze brauche ich ja nur sehr wenige IPs.

Werde mich mal damit spielen und bei Interesse berichten.

Nachtrag: aber das Problem mit dem doppelt-NAT ist damit immer noch nicht behoben?

 

[Raijin]

Ich halte im allgemeinen wenig von unnötig großen Routen. Eine Route mit Subnetzmaske 255.255.0.0 für 4 /24er Subnetze ist unschön. Am saubersten wären jeweils eine Route je Subnetz und wenn man dazu zu faul ist - was ich nicht nachvollziehen kann, weil man das genau einmal macht - würde ich die 4 VLAN-Subnetze eher in ein /22er Subnetz legen und dann dieses in der Fritzbox routen. Das hieße dann aber, dass zB 192.168.8.0/24 bis 192.168.11.0/24 für die VLANs genutzt werden und man in der Fritzbox dann 192.168.8.0/22 routet.

Es geht dabei ein Stück weit um's Prinzip. Routen sind präzise Werkzeuge und auch wenn es in einem Heimnetzwerk vielleicht nicht auf 100% Präzision ankommt, sollte man sich auch einfach vom Verständnis her an den korrekten Weg halten. Wenn man unnötigen Müll mit reinkonfiguriert - eben Routen zu Subnetzen, die überhaupt nicht existieren - gibt es morgen, in zwei Wochen, in drei Monaten oder 4 Jahren einen Thread mit der Frage warum denn das VPN nicht funktioniert.... Die Anrwort lautet dann tendenziell, dass das VPN-Subnetz ins Nirvana geroutet wird, weil man keine Lust hatte 4(!) Routen anzulegen. Warum? Weil's doof aussieht?!?

Eine gesunde Professionalität darf man daher auch in Heimnetzwerken an den Tag legen, weil Abkürzungen und vermeintliche Vereinfachungen durchaus auch das Risiko bergen, dass es irgendwann nicht mehr so funktioniert wie erwartet...


Doppel-NAT: Wenn ich mich nicht irre, hast du weiter oben geschrieben, dass die Geräte in den VLANs trotzdem Verbindung zum Internet hätten, offensichtlich trotz der falschen Route in der Fritzbox. Ohne funktionierende Route kann das aber nur der Fall sein, wenn der ER605 am WAN noch NAT macht. Denn wie sollte die Fritzbox sonst den Internetverkehr wieder zurück zum Client in einem der VLANs schicken, wenn die Fritzbox die VLANs nicht kennt und keine Route dahin hat? Genau, gar nicht. Folglich sieht der Internetverkehr der VLAN-Geräte aus wie lokaler Traffic des ER605, also mit (S)NAT/masquerade M ER605-WAN.

Ich kenne mich mit Omada nicht wirklich aus, aber wenn es eine Option für NAT gibt, dann muss sie auch explizit so heißen, NAT/masquerade am WAN oder ggfs als Regel im NAT-Bereich des Controllers. Routen zu setzen reicht nämlich nicht bzw ist sinnlos, wenn noch geNATtet wird.

 

[TomH22]

Ich halte im allgemeinen wenig von unnötig großen Routen. Eine Route mit Subnetzmaske 255.255.0.0 für 4 /24er Subnetze ist unschön.

Daran ist überhaupt nichts unschön. Es geht um private Subnetze, und im Gegensatz zum öffentlichen IPv4 Netz ist hier Adressraum überhaupt nicht knapp. Unzählige Firmen IPv4 Netze sind so aufgebaut, wie ich beschrieben habe. Und übrigens auch die CGNAT Netze von Carriern, die nehmen meist sogar den Prefix 10.x.
Das Risiko der Überlappung, wenn man solche Netze per VPN koppelt, besteht leider prinzipiell immer.

Du hast allerdings auch recht, wenn Du sagst, das es kein Ding ist, ein paar wenige Routen einzeln einzutragen. Aber der TE wollte wissen, wie man das vermeiden kann.

Am saubersten wären jeweils eine Route je Subnetz und wenn man dazu zu faul ist - was ich nicht nachvollziehen kann, weil man das genau einmal macht - würde ich die 4 VLAN-Subnetze eher in ein /22er Subnetz legen und dann dieses in der Fritzbox routen. Das hieße dann aber, dass zB 192.168.8.0/24 bis 192.168.11.0/24 für die VLANs genutzt werden und man in der Fritzbox dann 192.168.8.0/22 routet.

Kann man auch machen, habe ich bewusst nicht vorgeschlagen, da ich den Eindruck hatte, das der TE das Konzept von Prefixen/Subnetzen nicht in der Tiefe durchdrungen hat, und man dabei auch schnell mal was falsch machen kann.

 

[Raijin]

Natürlich ist es unschön, nicht existente Subnetze unnötig zu routen. Ebenso wie man ein Subnetz nur soweit vergrößert wie nötig und nicht wie in ähnlichen Threads auch häufig vorgeschlagen gleich mit /16er Subnetzen um sich zu werfen. Sowas kann einen früher oder später einfach einholen, weil man schulterzuckend sinnfrei große Subnetze oder Routen anlegt, weil man zu faul ist, es richtig zu machen, oder weil man die Logik nicht verstanden hat und den Weg des geringsten Widerstands (mit potentiellen Fallen) geht.

"Ist ja nur ein privates Netzwerk" ist ein schwaches Argument. Warum sollte man überhaupt unterscheiden ob es ein Firmennetzwerk ist oder ein Heimnetzwerk? Warum nicht einfach immer so machen wie es sinnvoll ist und stattdessen mit dem Vorschlaghammer /16 draufhauen? Es richtig zu machen, bedeutet ja keinen wirklichen Mehraufwand, aber man muss eben 3 Sekunden länger darüber nachdenken....

Hinzu kommt, dass mit solchen Methoden auch kein Lerneffekt entsteht. Wenn man das so macht, wird man auch in 10 Jahren noch nicht verstanden haben wie Subnetze und Routen funktionieren.